会计信息系统控制

第八章

会计信息系统控制第1页第一节

网络会计信息系统安全问题第2页一、网络安全问题网络安全性威胁表现黑客攻击计算机犯罪第3页二、基于互联网会计信息系统风险分析系统故障风险内部人员道德风险系统关联方道德风险社会道德风险第4页三、网络会计信息系统安全保护办法不停完善计算机安全立法建立和完善计算机技术控制体系建立完善单位内部控制和管理体系第5页第二节

网络会计信息系统技术控制体系第6页主要关键技术防火墙技术信息加密技术漏洞扫描技术入侵检测技术病毒检测与消除技术第7页第三节

网络会计信息系统内部控制体系第8页内部控制是指企业为保护资产安全、确保会计统计正确性和可靠性、提升经营管理效率、保障经营管理政策执行而采取全部方法和办法。普通控制它是对会计信息系统环境控制应用控制它是对系统运行过程控制基于互联网会计信息系统应用模式独立内联网结构应用系统异地内联网结构应用系统适合于含有异地分支机构集团企业外联网结构应用系统适合于联盟型虚拟企业，所组成实体企业本身可能含有异地内联网结构第9页一、操作系统控制用户定义由系统管理员为系统中每个用户设置一个安全级别和身份标识。对进入系统用户，系统除进行身份和口令判断外，还进行安全等级判别，以确保进入系统用户含有正当身份和正当权限。日志审计制度日志是用来监视和统计系统中相关安全性活动，包含对系统运行事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和统计，并对日志文件定时进行安全检验和评定。第10页存取控制也称计算机资源授权表制度，是对系统资源进行分类管理一个制度。自主存取控制它是经过存取控制表形式，由系统管理员定义系统中每个用户对详细资源存取方式。强制存取方式它是经过对用户和资源分级、分类管理，强制限制信息共享和流动，每个用户只能访问系统要求范围内信息。特权管理特权管理是使系统由若干个系统管理员和操作员共同管理系统，使其含有完成其任务最少特权，并相互制约，以提升系统安全可靠性。设备管理依据设备物理位置、安全管理条件确定详细设备安全等级，严格控制低级别设备输入、处理、输出高级别信息权利。第11页二、数据库控制数据库安全威胁系统内外人员对数据库非法访问因为系统故障、误操作或认为破坏造成数据库物理损坏办法子模式定义子模式是指全部数据资源中面向某一特定用户或应用项目标一个数据子集。在网络环境下，为了限制正当用户或非法访问者轻易获取全部数据资源，应依据不一样应用项目（功效）分别定义面向用户操作数据界面，做到用到什么数据，就开放什么数据。第12页数据资源访问授权制度依据定义子模式，明确每一详细用户对数据资源访问范围和内容，并深入要求对数据库查阅、修改、删除、插入等操作权限。可经过数据资源授权表形式来实现。数据备份和恢复制度备份文件业务日志文件用来统计系统处理过程详细步骤、处理内容检验点文件检验点是指数据处理过程中，作业内容信息能被完整统计下来，并可重新开启该作业一个时间点。第13页三、系统开发控制系统开发控制是一个预防性控制，目标是确保系统开发过程及其开发内容符合内部控制要求。办法开发方案控制按企业再造要求全方面分析和重构企业管理过程、业务过程、生产经营过程。第14页开发过程控制按工程规范要求开发系统有利于系统管理与维护，能够防止因开发维护人员变更而对系统带来负面影响。包含开发过程规范化开发工具、开发文档编制标准化和规范化每个阶段工作结束后，要形成阶段开发汇报，经论证审定后才能进入下一阶段，并作为下一阶段依据。系统测试控制由业务教授、内审人员组成用户小组不但要主动参加系统开发方案分析设计，同时在系统测试阶段，除了要测试系统业务功效外，还要对会计控制功效有效性进行测试。第15页四、系统维护控制日常维护可经过软件功效本身完成，其控制可在操作控制中实现。系统修改包含源程序修改、代码结构修改、数据库文件结构修改可采取系统开发控制方法，即对维护方案、维护过程、维护测试要参考系统开发控制方法进行严格控制。第16页五、应用控制应用控制是指详细应用系统中用来预防、检测和更正错误，以及处置不法行为内部控制办法。办法输入控制目标在网络环境下确保数据采集正当性、准确性和完整性重点对网上电子数据正当性、准确性和完整性检测控制内容包含对电子数据审查、电子数据与电子署名一致性检验等。第17页处理控制目标确保数据处理过程正确可靠性内容除了做好会计期间控制、正确性控制、数据一致性控制、预留审计线索控制等工作外，重点做好实时数据备份恢复工作。输出控制目标确保系统信息输出没有被意识、错发、截留，秘密没有被泄露等内容包含打印程序控制、分发控制、废汇报控制、最终用户控制等。第18页六、计算中心控制目标经过对系统物理环境及设备可靠性控制，以确保系统设备能实时地、连续地运转。困难怎样确保系统实时运转怎样预防外界经过网络对计算中心威胁第19页计算中心物理环境控制中心安全控制包含中心物理位置、机房结构设置控制；进入机房控制；电源、防火、防磁、温度、湿度控制；设备日常检测制度等。群集系统控制所谓群集系统实际上是一个针对网络环境下多机热备份制度，平时各服务器运行各自应用项目，并保持系统和数据共享联络，当一台服务器发生故障时，群集系统中另一台服务器会马上负担故障服务器工作，并确保数据连续性，待服务器故障排除后自动加入群集系统恢复正常状态适用范围对不间断运行要求很高应用系统第20页七、组织控制计算机系统结构集中处理模式分布处理模式第21页网络系统组织控制办法工作站设置控制工作站是企业全部部门计算机应用中心，依据各业务部门实际需要，各工作站还可深入建立分布式计算机操作终端。首先应对企业组织结构、业务流程进行优化设置，在此基础上分布设置各级网络工作站；并经过操作系统、数据库管理系统等技术控制办法实现对各工作站职责分工控制。第22页内审制度企业要专门设置由内审人员、风险分析评定人员、系统维护人员组成内审小组，利用软件技术实时监控系统运行情况，随时分析系统运行日志文件和各种安全检测统计，及时发觉系统安全漏洞，并采取对应安全对策办法。企业还应建立风险评定制度，由用户、内审人员、维护人员、风险分析员等组成风险评定小组应定时对系统环境、功效进行全方面风险评定和弱点分析，并据此完善系统会计控制体系。人事管理控制‘实施业务培训、安全操作考评制度。对特殊企业（如金融企业）主要岗位可实施轮岗制度等。第23页八、工作站控制目标不但要确保其本身安全，而且要消除经过工作站对整个系统带来安全风险。办法工作站内部控制是互联网信息系统内部控制基础内容工作站物理环境控制操作权限控制操作规程控制故障处理控制工作站对整个系统访问控制数据通讯控制第24页第四节

网络会计信息系统外部控制体系第25页一、周界控制目标经过对安全区域周界实施控制来到达保护区域内部系统安全性，是一切防外办法基础。内容设置外部访问区域所谓外部访问区域是系统内接待外界（关联方、社会公众）网上会计数据访问、与外界进行会计数据交换逻辑区域，它是内联网应用系统与外界系统联络缓冲区域。企业在建立内联网时，要对网络服务功效和拓扑结构进行详细分析，经过专用软件、硬件、管理办法，实现会计应用系统与外部访问区域之间严密数据隔离、访问限制。第26页建立防火墙防火墙是指建立在被保护网络周围分隔被保护网络与外部网络一个技术系统。类别外层防火墙用来限制外界对主机操作系统访问应用级防火墙用逻辑隔离应用系统与外部访问区域之间联络限制外界穿过访问区域对网络应用系统服务器，尤其是对应用数据库系统访问。建立周界监控制度目标经过对系统日志文件和网络数据包实时监控和审计分析，实时来自外部入侵行为和内部用户未授权活动，同时为追究入侵者法律责任提供线索和证据。内容技术办法经过一定安全技术产品、软件功效实施对周界实时监控和情况统计。管理办法企业要设置专门内审小组，负责对系统周界监控系统管理，实时检验统计资料，及时发觉和处理问题，同时还要开展定时风险评定分析活动。第27页二、大众访问控制网上大众访问包含电子邮件传递、网上信息查询等内容。办法邮件系统控制普通宜将邮件系统限定在外部访问区域服务器和工作站上比较安全。网上信息查询控制普通也应限制在系统外部访问区域内，而且只提供查询和检索功效。第28页三、电子商务控制电子商务安全首先是一个复杂法律问题，其次是一个复杂技术问题。办法电子商务关联方控制数据浏览型模式企业经过WWW向外部企业提供信息和条件检验功效，外部企业不能更改数据。事务处理型模式交易双方可在网上直接进行电子凭证交换，并更新双方事务处理文件。第29页网上交易控制网上交易包括电子协议签署与确认、电子凭单传递与确认、电子货币支付与确认以及商品或劳务提供等业务步骤；包括到交易双方、银行、电子货币服务企业、认证中心等经济实体；在企业内部也要包括到进、销、财务等部门。企业要依据网上交易流程，建立严密网上交易规范，包含网上交易活动授权、确认制度，以及对应电子文件、电子货币接收、签发、验证制度等。交易文件控制交易文件是在电子商务活动中产生电子凭单、电子协议等原始交易材料。包含备份制度、